网络对抗技术 20181203 Exp7 网络欺诈防范
原理与实践说明
实践目标
- 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。
实践内容概述
- 简单应用SET工具建立冒名网站 (1分)
- ettercap DNS spoof (1分)
- 结合应用两种技术,用DNS spoof引导特定访问到冒名网站(1.5分)
实践原理
- Linux apachectl命令可用来控制Apache HTTP服务器的程序,用以启动、关闭和重新启动Web服务器进程。
- apachectl是slackware内附Apache HTTP服务器的script文件,可供管理员控制服务器,但在其他Linux的Apache HTTP服务器不一定有这个文件。
- 语法
apachectl [configtest][fullstatus][graceful][help][restart][start][status][stop]
- configtest 检查设置文件中的语法是否正确。
- fullstatus 显示服务器完整的状态信息。
- graceful 重新启动Apache服务器,但不会中断原有的连接。
- help 显示帮助信息。
- restart 重新启动Apache服务器。
- start 启动Apache服务器。
- status 显示服务器摘要的状态信息。
- stop 停止Apache服务器。
- EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具。
- 它具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
- 它支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。
- 主要适用于交换局域网络,借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
基础问题回答
1、 通常在什么场景下容易受到DNS spoof攻击
答:同一局域网下、各种公共网络。
2、 在日常生活工作中如何防范以上两攻击方法
- 不要随便使用没有安全保障的公共网络
- 打开网页的时候,注意查看网址是否被篡改
- 使用入侵检测系统,可以检测出大部分的DNS欺骗攻击
- 不连陌生且不设密的公共WiFi,给黑客机会
- 直接使用IP地址访问,对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。
实验内容
任务一:简单应用SET工具建立冒名网站
1、 由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用sudo vi /etc/apache2/ports.conf
命令修改Apache的端口文件,将端口改为80,如下图所示:
2、 在kali中使用netstat -tupln |grep 80
命令查看80端口是否被占用。如果有,使用kill+进程号
杀死该进程。如下图所示,无其他占用:
3、 使用sudo apachectl start
开启Apache服务:
4、 输入sudo setoolkit
打开SET工具:
5、选择1:Social-Engineering Attacks
即社会工程学攻击
6、 选择2:Website Attack Vectors
即钓鱼网站攻击向量
7、 选择3:Credential Harvester Attack Method
即登录密码截取攻击
8、 选择2:Site Cloner
进行克隆网站
9、 输入攻击机IP:192.168.16.128
,即Kali的IP
10、 输入被克隆网址https://www.mosoteach.cn/web/index.php?c=passport&m=index
11、在靶机中输入kali的IP地址,显示了云班课的登录界面
12、在登录界面输入用户名和密码,此时kali终端可以捕获到输入的数据
任务二:ettercap DNS spoof
1、使用指令ifconfig eth0 promisc
将kali网卡改为混杂模式
2、输入命令vi /etc/ettercap/etter.dns
对DNS缓存表进行修改,如图所示,可以添加网站和IP的DNS记录,我这里加了三个
www.besti.edu.cn A 192.168.16.128
www.cnblogs.cn A 192.168.16.128
www.baidu.com A 192.168.16.128
3、输入ettercap -G
指令,开启ettercap
,会自动弹出来一个ettercap的可视化界面,选择网卡eth0
,点击√
开始监听,即监听eth0网卡
4、在右上角的三个点中选择Hosts—>Scan for hosts
,扫描子网
5、网关为192.168.248.2
,靶机Windows7的IP为192.168.248.130
;将网关的IP添加到target1,将靶机IP添加到target2
6、 点击工具栏中的Plugins—>Manage the plugins
,选择dns_spoof
即DNS欺骗的插件,双击后即可开启
7、此时已经处于嗅探模式,在靶机中执行ping www.cnblogs.cn
命令结果如下,可以看到其实是给攻击机也就是kali虚拟机发送ping命令:
8、kali端看到反馈信息如下
任务三:结合应用两种技术,用DNS spoof引导特定访问到冒名网站
1、我先参考任务一克隆了一个蓝墨云的登录页面,然后按任务二的步骤进行DNS欺骗,在靶机输入www.cnblogs.cn
,下面是运行结果:
2、靶机点击提交之后,kali成功获取到靶机的登录信息,并且捕获到了填入的用户名和密码:
实验总结
1、基础问题回答
(1)通常在什么场景下容易受到DNS spoof攻击
本实验的场景是局域网,因此DNS spoof的攻击者经常选择局域网的环境。比如公共场合的WiFi中,非常容易受到DNS spoof的攻击。
(2)在日常生活工作中如何防范以上两攻击方法
防范以上两种攻击的方式也很简单,加强信息安全意识,养成良好的生活习惯:
-
公共场合不连接陌生WIFI,局域网的环境很容易被攻击。
-
在网络访问中不轻易点击陌生的链接网页,不轻易录入自己的个人信息。就像我们克隆的网页一样,网页非常的相似,如果不仔细看的话根本分不清真假,在这样的网页里输入信息,很轻易地就会造成信息泄露。
-
使用先进的杀软。DNS欺骗攻击不容易被发现,即便学习了网络攻防的专业知识,也很难保证不被欺骗和攻击,攻击的技术和方法也非常多样,因此最为简单的方式是安装先进的杀软,由杀软厂商帮助解决
2、实验体会
本次实验我学习了网络欺诈防范,从建立假冒网站和DNS spoof到两种方法结合,完成特定访问到冒名网站,这些攻击手段让我拓展了视野,对于网络攻击者的方式和套路有了基本的认识和理解,一个普通的网站,通过克隆技术可以做到非常的规范和完整,再借助一些技术完善细节,可以完美的克隆一个网站,对于我在未来工作中防范网络攻击有很大帮助,网络攻击是一个很广泛的知识面,我们必须不断学习,弄懂攻击技术的原理,由原理可以更加针对性的防范网络攻击,这也是我未来学习的重点。